제품 보안을 위한 Red Hat 기술 계정 관리(TAM) 서비스 소개

향후 사이버 공격이나 일련의 취약점에 대한 방어를 강화하고자 하는 고객을 위해 Red Hat은 제품 보안을 위한 기술 계정 관리 서비스를 추가하여 기술 어카운트 관리(TAM) 서비스를 확장합니다.

많은 Red Hat 고객이 TAM 서비스에 익숙합니다. TAM은 전문 분야에 대한 심층적인 기술 지식을 제공하며 신뢰할 수 있는 고객 기술 자문 역할을 합니다. 고객과의 개인적인 관계를 발전시켜 최상의 제품 경험을 선제적으로 추진합니다. Red Hat TAM은 또한 Red Hat 제품 관리자, 개발자, 기타 의사 결정자, 업스트림 커뮤니티와 함께 고객을 지원합니다.

Red Hat Security TAM은 Red Hat 제품 포트폴리오 전반의 보안 풋프린트에 전체적으로 집중합니다. 그 역할은 다음과 같습니다.

• 다양한 공격 전술에 대한 애드혹 교육 공유
• 고객이 Red Hat 보안 및 컴플라이언스 툴 사용 지원
• 강화된 구성 및/또는 배포를 적절하게 제안
• Red Hat이 위험을 줄이고 취약점을 완화하는 방법 교육
• Red Hat 제품에 대한 더 정확한 취약점 분석 제공
• 취약점 스캔 보고서 분류 지원
• 고객, Red Hat 팀, 파트너, 기타 벤더, 필요에 따라 오픈소스 커뮤니티와의 원활한 커뮤니케이션
• 고객의 관점을 대변하여 필요에 따라 Red Hat 제품 관리 및 보안 팀, 파트너, 기타 벤더, 그리고 오픈소스 커뮤니티에 영향력을 미침
• 소프트웨어 가치 사슬에 대한 인식 고취
• 주요 보안 인시던트 발생 시 잠재적인 완화 방법에 대한 조언
• 사후 보안 인시던트 평가 생성 지원

CVE(공통 취약점과 노출, Common Vulnerabilities and Exposures)

1999년에 MITRE Corporation은 보안 취약점에 레이블을 지정하는 표준으로 CVE 개념을 확립했습니다. IT 업계는 빠르게 CVE를 수용했으며, 현재 MITRE, Red Hat 및 400명 이상의 회원사가 CVE.org라는 조직에 참여하고 있습니다. 

CVE.org 내에서 가장 일반적인 구성원 역할을 CNA(CVE Numbering Authority)라고 합니다. 2025년 7월 현재 Red Hat은 2가지 특수 CVE.org 역할인 Root 및 CNA-LR도 보유하고 있습니다. 루트 조직은 다른 멤버 조직을 모집하고 교육합니다. CNA-LR(CVE Numbering Authority of Last Resort)은 CVE 제시에 관한 분쟁을 해결합니다. Red Hat은 이 두 가지 역할을 모두 수행하는 유일한 민간 부문 조직입니다. 

Red Hat은 보안 연구원 및 CVE 커뮤니티와 직접 협력하여 Red Hat 제품의 취약점을 식별, 검증, 패치합니다. Red Hat은 CNA로서 잠재적인 취약점을 신속하게 검증하고 CVE ID를 할당하며 개발 작업의 우선순위를 지정합니다. Red Hat은 연구원들과의 협업을 통해 아직 공개되지 않은 정보에 액세스할 수 있습니다. 이를 통해 엔지니어링 및 제품 보안 그룹이 공개 전에 취약점을 수정할 수 있으므로 고객의 위험과 노출이 줄어듭니다. Red Hat 직원은 다수의 업스트림 오픈소스 프로젝트에 참여하고 있으며, 이는 Red Hat 제품뿐만 아니라 업스트림의 취약점을 해결할 수 있는 고유한 이점을 제공합니다.

또한 Red Hat Product Security는 Red Hat 제품에 적용되는 CVE에 대한 사람 및 시스템이 읽을 수 있는 정보 리포지토리를 유지 관리합니다. 이러한 리포지토리에 액세스하려면 전체 Red Hat 제품 보안 페이지에서 관심 있는 영역으로 이동하세요. 또한 머신이 읽을 수 있는 CVE 정보 리포지토리 또는 사람이 읽을 수 있는 CVE 리포지토리에 직접 액세스할 수 있습니다.

보안 TAM은 Red Hat과 CVE 프로그램의 연계 및 보안 커뮤니티 내의 기타 연계를 활용하여 Red Hat 고객에게 사이버 공격을 방어하는 데 필요한 정보를 제공합니다. 보안 커뮤니티에는 Red Hat 제품 보안 팀, Red Hat 엔지니어링 그룹, Red Hat 제품 관리자, 기타 벤더, 업스트림 개발 커뮤니티, 같은 생각을 가진 고객이 포함됩니다.

시나리오

보안 감사 스캔을 통해 수천 건의 의심되는 취약점을 찾아낼 때 Red Hat Security TAM은 결과를 평가하고, 오탐(false positive)을 제거하고, 취약점을 분류하는 데 도움이 됩니다. 고객이 Red Hat 제품 패치 또는 완화를 신속하게 필요로 하는 경우 보안 TAM은 보안 커뮤니티 내의 연결을 활용하여 고객에게 가장 적합한 솔루션을 찾을 수 있습니다.

많은 고객 관리자가 인터넷을 통해 누군가로부터 조직을 보호하기 위해 적절한 조치를 취하고 있다는 신뢰할 수 있는 보증을 요청합니다. 전 세계가 조직의 제품과 서비스에 의존하기 때문에 위험 부담이 큽니다. 완전한 안전을 보장할 수는 없지만 Red Hat Security TAM은 이러한 고객이 컨퍼런스나 적절한 포럼에서 비슷한 생각을 가진 다른 고객과 함께 가상 시나리오를 시뮬레이션하도록 지원할 수 있습니다. 이러한 정보를 공유하면 모든 사람이 공격을 받은 후 사후 분석이 아닌 피드백을 통해 교훈을 얻을 수 있습니다.

이는 Red Hat 배포에 대한 신뢰를 구축, 유지 또는 복원하는 데 도움이 됩니다.

소프트웨어 공급망 공격 

공급망 공격은 ‘최악’이 얼마나 나쁠 수 있는지를 새롭게 정의합니다.

2017년에 공격자는 M.E.Doc이라는 인기 있는 우크라이나 회계 프로그램의 업데이트에 NotPetya 맬웨어를 삽입했습니다. M.E.Doc 사용자가 다음 업데이트를 다운로드했을 때 임베디드 맬웨어가 시스템을 파괴했습니다. 세계적인 운송 기업인 Maersk는 우크라이나에서 컴퓨터 시스템을 운영하고 복사본을 다운로드했습니다. 이 맬웨어는 Maersk 토폴로지의 약점을 악용하여 전 세계로 확산되었습니다. 이 공격으로 인해 Maersk는 몇 주 동안 가동되지 않았고, Maersk 운송 터미널에는 트럭이 몇 킬로미터나 머물렀습니다. 작업자들이 어떤 화물을 어떤 선박에 싣는지 결정할 수 있는 메커니즘이 없었기 때문입니다. 이로 인해 전 세계 해운의 약 20%가 멈춰 섰습니다.

IT 팀은 Maersk의 모든 Active Directory 도메인 컨트롤러를 포함하여 수천 대의 컴퓨터를 복구하기 위해 24시간 노력했습니다. 많은 Maersk 직원들은 위기가 끝날 때까지 책상 아래에서 잠을 자고 집에 갈 수 없었습니다. 아프리카에 있는 하나의 오프라인 Active Directory 도메인 컨트롤러가 아니었다면 재해는 훨씬 더 심각했을 수 있습니다. 도메인 컨트롤러 하드 드라이브가 너무 커서 네트워크를 통해 복사할 수 없었기 때문에 누군가 비행기를 타고 런던으로 가져왔습니다. 팀은 Maersk의 Active Directory 인프라를 복구하여 직원들이 Maersk의 시스템에 로그인하고 복원할 수 있도록 했습니다. 따라서 작업자는 다시 선박을 싣고 내리며 백업된 선적 터미널을 제거할 수 있었습니다. NotPetya 공격은 전 세계 뉴스의 헤드라인을 장식했습니다.

2020년에 공격자는 SolarWinds에 침투하여 소프트웨어 업데이트를 감염시켰습니다. 많은 정부 기관과 Fortune 500대 기업 중 다수가 SolarWinds 소프트웨어를 사용하여 네트워크를 관리하고 있습니다. 따라서 SolarWinds 고객이 최신 업데이트를 적용할 때마다 네트워크를 공격자에게 공개했습니다. 2025년에도 피해자들은 여전히 피해 규모를 평가하고 있습니다. 

오픈소스 커뮤니티와 Red Hat 제품 팀은 고객이 사용하는 소프트웨어가 손상되지 않았는지 확인할 수 있도록 소프트웨어 라이프사이클 관리 표준을 개발하고 있습니다. Red Hat Security TAM은 고객이 Red Hat 소프트웨어를 올바르게 구성하고 강화하여 이러한 종류의 공격을 최소화하도록 지원할 것입니다.

안심하고 싶으시죠?

모든 사람이 사이버 보안 최전선에서 활동하며 누구나 무의식적으로 공격 벡터가 될 수 있기 때문에 공격에 대한 완전한 내성을 보장할 수는 없습니다. 그러나 Red Hat Security TAM은 성공적인 공격의 가능성과 결과를 줄여 고객의 두려움을 덜어줄 수 있습니다. 자세한 내용은 Red Hat 어카운트 팀에 문의하세요. Red Hat 어카운트 팀에 문의하는 방법을 알고싶으시면, Red Hat에 문의하세요.